Компании массово ставят распознавание лиц на проходной: турникет открывается по лицу, а система сама фиксирует приход и уход. Удобно – не нужны карты и табельщик. Но лицо, которое камера превращает в цифровой шаблон для опознания человека, по закону – биометрические персональные данные. Для биометрии сотрудников 152-ФЗ вводит усиленный режим: СКУД по лицу и учёт рабочего времени по распознаванию лиц можно внедрять только с письменным согласием работника и с альтернативой для тех, кто отказался. Нарушение оборачивается штрафом по КоАП и предписанием Роскомнадзора прекратить обработку биометрии.
Разберём, как внедрить систему законно за 7 шагов.
Коротко. СКУД по лицу и учёт рабочего времени по распознаванию лиц – это обработка биометрических персональных данных. Она требует письменного согласия сотрудника (ст. 11 152-ФЗ) и равноценной альтернативы для отказавшихся (карта, пропуск, PIN). Без этого – штраф по ст. 13.11 КоАП РФ и риск предписания Роскомнадзора прекратить обработку биометрии.
Да, когда лицо обрабатывают техническими средствами, чтобы установить или подтвердить личность. Именно это делают СКУД и учёт рабочего времени: камера снимает лицо, алгоритм строит математический шаблон и сравнивает его с базой, чтобы понять, кто перед турникетом. Как только изображение используют для идентификации, оно попадает под ст. 11 152-ФЗ.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность, если оператор использует их именно для установления личности субъекта (ст. 11 152-ФЗ).
Ключ здесь – цель. Не всякое фото лица – биометрия. Данные становятся биометрическими, когда оператор обрабатывает их для опознания конкретного человека.
Фотография в кадровом деле или на пропуске сама по себе биометрией не считается: она лежит «для вида», её никто не сканирует алгоритмом для автоматического опознания. Как только то же лицо оцифровывают в вектор признаков и сравнивают с живым человеком на проходной – это уже биометрические персональные данные. Разница не в носителе (фото), а в способе и цели обработки. Работодатели часто путают эти случаи и думают: «раз фото и так в личном деле, никакого согласия на распознавание не нужно». Это заблуждение.
Любой турникет или терминал, который узнаёт человека по лицу, обрабатывает биометрию. Неважно, как это названо внутри компании – «умный проход», «face-контроль», «система дисциплины». Если техника устанавливает личность по лицу, применяется усиленный режим 152-ФЗ: письменное согласие, отдельные документы, повышенные требования к защите. Биометрический СКУД без этого режима незаконен с первого дня работы.
Биометрию сотрудников регулируют сразу несколько норм:
Роскомнадзор в разъяснениях последовательно держит позицию: согласие работника на биометрию должно быть добровольным, а отказ от неё не может ухудшать положение сотрудника.
Ст. 11 152-ФЗ разрешает обрабатывать биометрию только при согласии субъекта в письменной форме. Исключения (оборона, безопасность, противодействие терроризму, правосудие, оперативно-розыскная деятельность и подобные) установлены законом и к обычному корпоративному СКУД не относятся – работодатель не может ссылаться на них, чтобы обойти согласие.
Само согласие должно отвечать признакам из ст. 9 152-ФЗ: быть конкретным, предметным, информированным, сознательным и однозначным. Плюс закон требует, чтобы человек давал его свободно, своей волей и в своём интересе. Конкретность – под чёткую цель (доступ и учёт времени), информированность – человек понимает, что и зачем собирают. Строчки «работник ознакомлен» в приказе недостаточно.
Свобода согласия – не декларация, а проверяемое условие. Согласие считается свободным, только если у сотрудника есть реальный выбор: сдавать биометрию или нет. Прямая норма – ч. 3 ст. 11 152-ФЗ: предоставление биометрии не может быть обязательным, а оператор не вправе отказывать в обслуживании из-за отказа сдать биометрию, когда согласие по закону не обязательно. Значит, для тех, кто отказался, работодатель обязан оставить равноценный способ прохода и учёта времени – карту, пропуск, PIN-код, отметку у охраны.
Принуждать к сдаче биометрии нельзя. Отказ от биометрии на работе не может быть основанием для дисциплинарного взыскания, недопуска к рабочему месту или иного давления. Если единственный способ попасть на работу – показать лицо камере, согласие свободным не считается, и вся обработка становится незаконной.
Ответ зависит от того, что именно делает система. Идентификация (1:N) – когда алгоритм сравнивает лицо со всей базой, чтобы понять, «кто это»; аутентификация (1:1) – когда система лишь подтверждает конкретного человека по его же шаблону («он ли это»). Для идентификации 572-ФЗ (ст. 15) ограничивает обработку биометрии вне государственной ЕБС, поэтому режим строже: в зависимости от условий это может означать размещение шаблонов в ЕБС, регистрацию коммерческой биометрической системы или работу по специальным условиям постановлений Правительства РФ. Аутентификация «на себя» (1:1, ст. 16 572-ФЗ) – наиболее чистый режим для локального доступа. Точный порядок для конкретной компании определяется 572-ФЗ и постановлениями Правительства РФ и зависит от целей и способа обработки.
Это отдельная большая тема. Подробный разбор 572-ФЗ, ЕБС и общих правил обработки биометрических персональных данных – на странице услуги «Обработка биометрических персональных данных». Здесь фиксируем главное для работодателя: наличие или отсутствие обязанности по ЕБС не отменяет письменного согласия и альтернативы – эти требования действуют всегда.
Согласие на биометрию оформляют отдельным письменным документом, а не строкой в трудовом договоре. Проверьте, что в нём есть все обязательные реквизиты:
Готовый шаблон такого согласия мы отдаём в лид-магните ниже.
Организационно-распорядительные документы (ОРД) – доказательство того, что оператор обрабатывает биометрию по правилам. Минимальный комплект:
| Документ | Зачем нужен |
|---|---|
| Политика обработки персональных данных | Базовый публичный документ оператора (ст. 18.1 152-ФЗ) |
| Положение об обработке ПДн работников | Регламент обработки данных сотрудников, включая биометрию |
| Положение о СКУД / видеонаблюдении | Правила работы системы доступа и распознавания |
| Форма письменного согласия на биометрию | Правовое основание обработки биометрических ПДн (ст. 11 152-ФЗ) |
| Приказ о вводе системы и назначении ответственного | Фиксирует запуск и ответственное лицо |
| Уведомление в Роскомнадзор об обработке ПДн | Обязательное уведомление с указанием биометрии |
| Модель угроз и определение уровня защищённости ИСПДн | Уровень защищённости (УЗ) по ПП РФ № 1119 – для биометрии, как правило, УЗ-3 и выше |
| Состав мер защиты по Приказу ФСТЭК России № 21 | Организационные и технические меры защиты для негосударственной ИСПДн (для ГИС – Приказ ФСТЭК № 117) |
| Оценка вреда субъектам ПДн | Обязательный документ оператора |
Читайте также: Дипфейк-мошенничество против компаний: CEO-fraud
Почему пакет под биометрию заказывают у «Кредо-С»
Ответственность за биометрию без согласия наступает по ст. 13.11 КоАП РФ. Составы за обработку без письменного согласия (ч. 2 и ч. 2.1) действуют в редакции 589-ФЗ (2023). Суммы ч. 1, составы за утечки (ч. 11–18) и оборотные штрафы обновлены 420-ФЗ и применяются с 30.05.2025. Подробный разбор составов и сумм – в статье «Штрафы за нарушение 152-ФЗ». Актуальные значения для юрлица:
| Нарушение | Норма | Штраф для юрлица |
|---|---|---|
| Обработка биометрии без письменного согласия | ч. 2 ст. 13.11 КоАП | 300 000 – 700 000 ₽ |
| Повторная обработка без письменного согласия | ч. 2.1 ст. 13.11 КоАП | 1 000 000 – 1 500 000 ₽ |
| Обработка ПДн вне закона / несовместимо с целями | ч. 1 ст. 13.11 КоАП | 150 000 – 300 000 ₽ |
| Неуведомление РКН о намерении обрабатывать ПДн | ч. 10 ст. 13.11 КоАП | 100 000 – 300 000 ₽ |
| Утечка биометрических данных | ч. 17 ст. 13.11 КоАП | 15 000 000 – 20 000 000 ₽ |
| Повторная утечка биометрии / спецкатегории | ч. 18 ст. 13.11 КоАП | 1–3% годовой выручки, 25–500 млн ₽ |
| Неуведомление РКН об утечке | ч. 11 ст. 13.11 КоАП | 1 000 000 – 3 000 000 ₽ |
Для должностных лиц и граждан суммы ниже: например, за обработку без письменного согласия должностное лицо платит 100 000 – 300 000 ₽, гражданин – 10 000 – 15 000 ₽. Есть и уголовный риск – ст. 272.1 УК РФ (2024, 421-ФЗ). Она карает оборот незаконно полученных биометрических данных: слив или покупку баз, «пробив». Отсутствие согласия на собственный СКУД под неё не подпадает – для типового работодателя нарушение остаётся административным (ст. 13.11 КоАП). Кроме штрафа Роскомнадзор вправе выдать предписание и потребовать прекратить обработку биометрии (ст. 23 152-ФЗ); оператор при этом обязан прекратить обработку и уничтожить неправомерно собранные биометрические данные (ст. 21 152-ФЗ). На практике до легализации системы это означает отключение распознавания лиц.
Остались вопросы? Оставьте заявку
Я соглашаюсь на обработку персональных данных
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года